奇安信率先實(shí)現(xiàn)WannaRen攔截,奇安信用戶無(wú)一中招

  • 人閱讀
  • 2020-04-08 20:57:54

  • 來(lái)源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

針對(duì)互聯(lián)網(wǎng)上出現(xiàn)了一種名為“WannaRen”的勒索病毒,奇安信病毒響應(yīng)中心紅雨滴團(tuán)隊(duì)發(fā)布了詳細(xì)的技術(shù)分析報(bào)告,更多細(xì)節(jié)被披露。報(bào)告顯示,部署了奇安信情報(bào)產(chǎn)品的用戶并沒有遭受此安全威脅,旗下的天擎殺毒軟件也率先實(shí)現(xiàn)了對(duì)該病毒的查殺。

報(bào)告分析認(rèn)為,WannaRen在被大量關(guān)注后,攻擊者迅速刪掉了下載勒索模塊中的鏈接,從而試圖逃避檢測(cè)。安全研究人員也同時(shí)指出,記錄程序運(yùn)行時(shí)間的fm文件,使用了簡(jiǎn)體中文進(jìn)行記錄,這足以證明該病毒的作者極有可能是中國(guó)人。

“根據(jù)線索,該病毒的蹤跡我們發(fā)現(xiàn)于4月2號(hào)天擎用戶的攔截日志”,紅雨滴團(tuán)隊(duì)分析發(fā)現(xiàn),“WannaRen”會(huì)偷偷下載WINWORD.EXE和wwlib.dll兩個(gè)文件,前者為微軟office的正常程序,后者為病毒文件。這種典型的白加黑攻擊手段極易躲過(guò)大多數(shù)殺毒軟件的查殺。此外,該勒索病毒還同時(shí)兼?zhèn)渫诘V功能,這將導(dǎo)致正常文件被加密無(wú)法訪問(wèn)的同時(shí),電腦還將耗費(fèi)大量資源為攻擊者“挖礦”牟利。

像真正的生物病毒一樣,該病毒還將本身作為傳染源,以傳染同一內(nèi)部網(wǎng)絡(luò)的電腦。“該腳本還有一種很少見的橫向移動(dòng)輔助手法,該手法利用了Everything擁有的http服務(wù)器功能。首先,其會(huì)在受害器上下載aaaa.exe,并保存到C:\Users\Public\目錄下,功能為釋放everything并開啟http服務(wù)器功能,這樣在同一內(nèi)網(wǎng)的其他受害者就可以通過(guò)該http服務(wù)器下載上面的惡意程序,從而進(jìn)一步的擴(kuò)散受害面。”安全專家介紹。

奇安信率先實(shí)現(xiàn)WannaRen攔截,奇安信用戶無(wú)一中招

奇安信率先實(shí)現(xiàn)WannaRen攔截,奇安信用戶無(wú)一中招

圖:奇安信天擎攔截記錄

分析發(fā)現(xiàn),早在今年1月,通過(guò)攻擊者的域名,奇安信病毒響應(yīng)中心就已經(jīng)將該域名與HideShadowMiner組織的攻擊關(guān)聯(lián)在一起,并將該域名置黑,因此部署相關(guān)情報(bào)產(chǎn)品的用戶均無(wú)遭受此威脅。HideShadowMiner,國(guó)內(nèi)統(tǒng)稱為匿影組織,該組織此前一直進(jìn)行挖礦攻擊。同時(shí)發(fā)現(xiàn),通過(guò)特征,分析人員發(fā)現(xiàn)匿影組織還使用了多個(gè)域名搭載同一套Powershell攻擊框架發(fā)起攻擊。

奇安信率先實(shí)現(xiàn)WannaRen攔截,奇安信用戶無(wú)一中招

圖:相關(guān)攻擊域名在全網(wǎng)的訪問(wèn)趨勢(shì)圖,時(shí)間集中在近期,符合事件發(fā)生時(shí)段

“4月2日,奇安信天擎就已經(jīng)檢測(cè)并攔截了相關(guān)攻擊行為,并且即便惡意軟件已經(jīng)執(zhí)行,但是對(duì)應(yīng)的勒索病毒模塊同樣被天擎查殺,因此目前奇安信用戶無(wú)一中招。”奇安信安全專家表示。奇安信紅雨滴團(tuán)隊(duì)同時(shí)提供了病毒攻擊的IoC,已便于用戶自查是否已經(jīng)收到“WannaRen”的安全威脅:

wmi.sslsngyl90.com

cpu.sslsngyl90.com/xx.txt

cpu.sslsngyl90.com/wmi.txt

us.howappyoude.club/v.txt

cpu.goolecpuclan.xyz/vip.txt

xx.sslsngyl90.com

xx.sslsngyl90.com

wmi.sslsngyl90.com

wmi.sslsngyl90.com

d.sslsngyl90.com

d.sslsngyl90.com

cs.sslsngyl90.com

cs.sslsngyl90.com

cpu.sslsngyl90.com

cpu.sslsngyl90.com

相關(guān)惡意程序下發(fā)路徑

C:\ProgramData\227.exe

C:\ProgramData\office.exe

C:\ProgramData\nb.exe

C:\ProgramData\WinRing0x64.sys

C:\ProgramData\officekms.exe

C:\ProgramData\xeexfrt.txt

C:\Users\Public\MicrosftEdgeCP.exe

C:\Users\Public\1\winlogtrf.exe

C:\ProgramData\227.txt

C:\Users\Public\ aaaa.exe

WannaRen勒索軟件主體Hash

9854723bf668c0303a966f2c282f72ea

此外,奇安信分析人員特別提醒,攻擊者會(huì)通過(guò)微當(dāng)下載去下載APK程序,并重命名為exe文件,但這也意味著,微當(dāng)下載并沒有識(shí)別出該APK是惡意的PE程序并進(jìn)行了放行,用戶應(yīng)注意從此通道下載的相關(guān)程序。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )